測試環境
web服務器:apache-tomcat-8.0.24-windows-x64
測試工具:Acunetix Web Vulnerability Scanner 9.5
官方Tomcat測試結果
從官網下載原版apache-tomcat-8.0.24-windows-x64.zip,解壓之后,直接開始測試。測試結果如下圖所示:
漏洞看起來真的很多啊,不要被嚇着哦。
漏洞整改
1、刪除webapps目錄中的docs、examples、host-manager、manager等正式環境用不着的目錄,這一步就可以解決大部分漏洞
2、去掉webapps\ROOT中不需要目錄和文件
3、解決掉“Slow HTTP Denial of Service Attack“漏洞
Slow HTTP Denial of Service Attack漏洞是利用HTTP POST的時候,指定一個非常大的content-length,然后以很低的速度發包,比如10-100s發一個字節,讓這個連接不斷開。這樣當客戶端連接多了后,占用了webserver的所有可用連接,從而導致DOS,屬於一種拒絕服務攻擊。
解決辦法:
打開server.xml找到
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
將其中的connectionTimeout="20000"改為connectionTimeout="8000",其單位是毫秒。
4、解決“Clickjacking: X-Frame-Options header missing”漏洞
“Clickjacking(點擊劫持)是由互聯網安全專家羅伯特·漢森和耶利米·格勞斯曼在2008年提出的。是一種視覺欺騙手段,在web端就是iframe嵌套一個透明不可見的頁面,讓用戶在不知情的情況下,點擊攻擊者想要欺騙用戶點擊的位置。”
我們可以通過配置過濾器來解決。
首先,將ClickjackFilter.jar添加到lib目錄下。
然后,打開webapps\ROOT\WEB-INF\web.xml添加以下過濾器:
<filter> <filter-name>ClickjackFilterDeny</filter-name> <filter-class>org.owasp.filters.ClickjackFilter</filter-class> <init-param> <param-name>mode</param-name> <param-value>DENY</param-value> </init-param> </filter> <filter-mapping> <filter-name>ClickjackFilterDeny</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
復測結果
重啟Tomcat,復測結果如下:
、
后記
隨着企業越來重視信息系統安全性,建議不要直接使用官網下載的tomcat,盡量多進行測試,解決web應用漏洞,升應用安全性。
本文所用到的過濾器源代碼及最終的tomcat已經分享到百度雲盤,感興趣的同學可以下載。
http://yunpan.cn/cdq8FvWyvDpjB 訪問密碼 1f4c
參考資料
1、https://www.owasp.org/index.php/Clickjacking_Protection_for_Java_EE
2、http://www.cnblogs.com/xuanhun/p/3610981.html
3、http://www.cnblogs.com/xuanhun/p/3610981.html